BugTraq.Ru: краткое описание безопасности в организации // версия для печати

https://bugtraq.ru/library/books/mitnick/security/

Краткое описание безопасности в организации

(Security at a Glance)

Перевод: Daughter of the Night (admin[at]mitnick.com.ru)

Следующие списки и таблицы предоставят сжатую памятку методов, используемых социальными инженерами, подробно описанных в главах с 2 по 14, и процедур подтверждения личности, описанных в главе 16. Модифицируйте эту информацию для вашей организации, сделайте ее доступной, чтобы для ваши сотрудники пользовались ей в случае возникновения вопросов по безопасности.

Определение атаки

Эти таблицы помогут вам обнаружить атаку социального инженера.

ДЕЙСТВИЕ ОПИСАНИЕ

Исследование Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с вэб-сайта. А также выброшенное в помойки.

Создание взаимопонимания и доверия Использование внутренней информации, выдача себя за другую личность , называние имен людей, знакомых жертве, просьба о помощи, или начальство.

Эксплуатация доверия Просьба жертве об информации или совершении действия. В обратной социальной инженерии, жертва просит атакующего помочь.

Применение информации Если полученная информация - лишь шаг к финальной цели, атакующий возвращается к более ранним этапам, пока цель не будет достигнута.

Типичные методы действий социальных инженеров

Представляться другом-сотрудником
Представляться сотрудником поставщика, партнерской компании, представителем закона
Представляться кем-либо из руководства
Представляться новым сотрудником, просящим о помощи
Представляться поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч.
Предлагать помощь в случае возникновения проблемы, потом заставить эту проблему возникнуть, принуждая жертву попросить о помощи
Отправлять бесплатное ПО или патч жертве для установки
Отправлять вирус или троянского коня в качестве приложения к письму
Использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль
Записывание вводимых жертвой клавиш компьютером или программой
Оставлять диск или дискету на столе у жертвы с вредоносным ПО
Использование внутреннего сленга и терминологии для возникновения доверия
Предлагать приз за регистрацию на сайте с именем пользователя и паролем
Подбрасывать документ или папку в почтовый отдел компании для внутренней доставки
Модифицирование надписи на факсе, чтобы казалось, что он пришел из компании
Просить секретаршу принять, а потом отослать факс
Просить отослать документ в место, которое кажущееся локальным
Получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий - их сотрудник
Притворяться, что он из удаленного офиса и просит локального доступа к почте.

Предупреждающие знаки атаки

Отказ назвать номер
Необычная просьба
Утверждение, что звонящий - руководитель
Срочность
Угроза негативными последствиями в случае невыполнения
Испытывает дискомфорт при опросе
Называет знакомые имена
Делает комплименты
Флиртует

Типичные цели атакующих

ТИП ЖЕРТВЫ ПРИМЕРЫ

Незнающая о ценности информации Секретари, телефонистки, помощники администрации, охрана.

Имеющая особенные привилегии Отдел технической поддержки, системные администраторы, операторы, администраторы телефонных систем.

Поставщик / Изготовитель Производители компьютерных комплектующих, ПО, поставщики систем голосовой почты.

Особый отдел Бухгалтерия, отдел кадров.

Факторы, делающие компанию более уязвимой к атакам

Большое количество работников
Множество филиалов
Информация о местонахождении сотрудников на автоответчике
Информация о внутренних телефонах общедоступна
Поверхностное обучение правилам безопасности
Отсутствие системы классификации информации
Отсутствие системы сообщения об инцидентах

Проверка и классификация информации

Эти таблицы и списки помогут вам ответить на просьбы или действия, которые могут быть атакой социального инженера.

Подтверждение личности

ДЕЙСТВИЕ ОПИСАНИЕ

Идентификационный номер звонящего Убедитесь, что звонок - внутренний, и название отдела соответствует личности звонящего.

Перезвонить Найдите просящего в списках компании и перезвоните в указанный отдел.

Подтвердить Попросите доверенного сотрудника подтвердить личность просящего.

Общий секрет Спросите известный только в фирме секрет, к примеру пароль или ежедневный код.

Руководитель или менеджер Свяжитесь с руководителем сотрудника и попросите подтвердить личность и должность..

Безопасная почта Попросите отправить сообщение с цифровой подписью.

Узнавание голоса Если звонящий знаком, убедитесь, что это его голос.

Меняющиеся пароли Спросите динамический пароль вроде Secure ID, или другое аутентификационное средство.

Лично Попросить звонящего прийти с удостоверением личности.

Проверка, работает ли еще сотрудник

ДЕЙСТВИЕ ОПИСАНИЕ

Проверка в списке сотрудников Проверьте, что сотрудник находится в списке.

Менеджер просителя Позвонить менеджеру просителя используя телефон, указанный в базе данных компании.

Отдел или группа просителя Позвонить в отдел просителя и узнать, работает ли он еще там.

Процедура, позволяющая узнать, может ли просителя получить информацию

ДЕЙСТВИЕ ОПИСАНИЕ

Смотреть список должностей / отделов / обязанностей Проверить списки, где сказано, каким сотрудникам разрешено получать подобную информацию.

Получить разрешение от менеджера Связаться со своим менеджером или менеджером звонящего для получения разрешения выполнить просьбу.

Получить разрешение от владельца информации или разработчика Спросить владельца информации, надо ли звонящему это знать.

Получить разрешение от автоматического устройства Проверить базу данных уполномоченного персонала.

Критерии подтверждения личности людей, не являющихся сотрудниками

КРИТЕРИЙ ДЕЙСТВИЕ

Связь Убедитесь, что у фирмы просителя есть поставщики, партнеры или другие соответствующие связи.

Личность Проверьте личность и статус занятости звонящего в его фирме.

Неразглашение Убедитесь, что просителя подписал договор о неразглашении тайн.

Доступ Передайте просьбу руководству, если информация классифицирована секретней, чем "Внутренняя".

Классификация информации

КЛАССИФИКАЦИЯ ОПИСАНИЕ ПРОЦЕДУРА

Публичная Может быть свободно доступна для общественного пользования. Не требует подтверждения личности

Внутренняя Для использования внутри компании Проверьте, является ли просящий сотрудником в данный момент, подписал ли он соглашение о неразглашении, и попросите разрешение руководства для людей, не являющихся сотрудниками.

Личная Информация личного характера, предназначенная для использования только внутри организации. Проверьте, является ли просителя сотрудником в данный момент, или у него есть разрешение. Свяжитесь с отделом кадров насчет раскрытия информации сотрудникам или людям, не являющихся сотрудниками.

Конфиденциальная Известна только людям, которым необходимо это знать внутри организации. Подтвердите личность звонящего и спросите у владельца, надо ли звонящему это знать. Отпускайте только с письменным разрешением менеджера, владельца или создателя. Убедитесь, что просителя подписал договор о неразглашении тайн. Только менеджеры могут сообщать что-либо людям, не работающим в фирме.

Design: Vadim Derkach

ДЕЙСТВИЕ	ОПИСАНИЕ
Исследование	Может включать в себя ежегодные отчеты, брошюры, открытые заявления, промышленные журналы, информацию с вэб-сайта. А также выброшенное в помойки.
Создание взаимопонимания и доверия	Использование внутренней информации, выдача себя за другую личность , называние имен людей, знакомых жертве, просьба о помощи, или начальство.
Эксплуатация доверия	Просьба жертве об информации или совершении действия. В обратной социальной инженерии, жертва просит атакующего помочь.
Применение информации	Если полученная информация - лишь шаг к финальной цели, атакующий возвращается к более ранним этапам, пока цель не будет достигнута.

ТИП ЖЕРТВЫ	ПРИМЕРЫ
Незнающая о ценности информации	Секретари, телефонистки, помощники администрации, охрана.
Имеющая особенные привилегии	Отдел технической поддержки, системные администраторы, операторы, администраторы телефонных систем.
Поставщик / Изготовитель	Производители компьютерных комплектующих, ПО, поставщики систем голосовой почты.
Особый отдел	Бухгалтерия, отдел кадров.

ДЕЙСТВИЕ	ОПИСАНИЕ
Идентификационный номер звонящего	Убедитесь, что звонок - внутренний, и название отдела соответствует личности звонящего.
Перезвонить	Найдите просящего в списках компании и перезвоните в указанный отдел.
Подтвердить	Попросите доверенного сотрудника подтвердить личность просящего.
Общий секрет	Спросите известный только в фирме секрет, к примеру пароль или ежедневный код.
Руководитель или менеджер	Свяжитесь с руководителем сотрудника и попросите подтвердить личность и должность..
Безопасная почта	Попросите отправить сообщение с цифровой подписью.
Узнавание голоса	Если звонящий знаком, убедитесь, что это его голос.
Меняющиеся пароли	Спросите динамический пароль вроде Secure ID, или другое аутентификационное средство.
Лично	Попросить звонящего прийти с удостоверением личности.

ДЕЙСТВИЕ	ОПИСАНИЕ
Проверка в списке сотрудников	Проверьте, что сотрудник находится в списке.
Менеджер просителя	Позвонить менеджеру просителя используя телефон, указанный в базе данных компании.
Отдел или группа просителя	Позвонить в отдел просителя и узнать, работает ли он еще там.

ДЕЙСТВИЕ	ОПИСАНИЕ
Смотреть список должностей / отделов / обязанностей	Проверить списки, где сказано, каким сотрудникам разрешено получать подобную информацию.
Получить разрешение от менеджера	Связаться со своим менеджером или менеджером звонящего для получения разрешения выполнить просьбу.
Получить разрешение от владельца информации или разработчика	Спросить владельца информации, надо ли звонящему это знать.
Получить разрешение от автоматического устройства	Проверить базу данных уполномоченного персонала.

КРИТЕРИЙ	ДЕЙСТВИЕ
Связь	Убедитесь, что у фирмы просителя есть поставщики, партнеры или другие соответствующие связи.
Личность	Проверьте личность и статус занятости звонящего в его фирме.
Неразглашение	Убедитесь, что просителя подписал договор о неразглашении тайн.
Доступ	Передайте просьбу руководству, если информация классифицирована секретней, чем "Внутренняя".

КЛАССИФИКАЦИЯ	ОПИСАНИЕ	ПРОЦЕДУРА
Публичная	Может быть свободно доступна для общественного пользования.	Не требует подтверждения личности
Внутренняя	Для использования внутри компании	Проверьте, является ли просящий сотрудником в данный момент, подписал ли он соглашение о неразглашении, и попросите разрешение руководства для людей, не являющихся сотрудниками.
Личная	Информация личного характера, предназначенная для использования только внутри организации.	Проверьте, является ли просителя сотрудником в данный момент, или у него есть разрешение. Свяжитесь с отделом кадров насчет раскрытия информации сотрудникам или людям, не являющихся сотрудниками.
Конфиденциальная	Известна только людям, которым необходимо это знать внутри организации.	Подтвердите личность звонящего и спросите у владельца, надо ли звонящему это знать. Отпускайте только с письменным разрешением менеджера, владельца или создателя. Убедитесь, что просителя подписал договор о неразглашении тайн. Только менеджеры могут сообщать что-либо людям, не работающим в фирме.